Setup router NAT bisnis yang aman dan efisien

1

Latar Belakang

Saya merancang pengaturan server untuk bisnis kecil tempat saya bekerja. Kami ingin dapat meng-host server web kami sendiri dan layanan lainnya di masa depan di lokasi kami sendiri.

Menjadi orang IT / orang jaringan / guru teknologi umum, saya belajar untuk menjadi dongkrak dari semua perdagangan. Sayangnya, saya memiliki sedikit pengalaman dengan jaringan, tapi saya belajar dan itu menarik.

Saya telah membaca di jaringan dan saya percaya bahwa saya memiliki pemahaman yang cukup kuat tentang apa yang terjadi dengan jaringan kami. Saya memahami prinsip-prinsip penerusan port dan gagasan bahwa router dapat digunakan sebagai cara untuk memblokir koneksi masuk ke layanan. Saya juga sudah menjalankan dan menjalankan server web berbasis Nginx, meskipun saya belum tahu cara menghubungkannya ke Internet.

Juga, kami tidak benar-benar memiliki anggaran untuk peralatan baru, jadi saya puas dengan banyak peralatan jaringan rumah yang kami miliki. Jika ini benar-benar tidak cukup, beri tahu saya, tetapi saya berasumsi bahwa itu akan berhasil.

Berikut gambar singkat dari pengaturan saat ini:

pengaturan saat ini

Mulai dari atas, garis hitam tebal (mewakili koneksi data gedung, Comcast) dipecah menjadi internet di modem. Tidak ada ethernet di dinding yang diatur di sini - bisnis kami menggunakan wi-fi sebagai metode penggunaan internet. Jadi router wi-fi terhubung langsung ke modem, karena itu adalah satu-satunya perangkat di tingkat atas. Router wi-fi melayani internet untuk penggunaan sehari-hari.

Deskripsi Masalah

Keamanan

Saya mencoba untuk mendapatkan server web agar aman dijauhkan dari sisa jaringan. Jika server dikompromikan, maka saya tidak ingin itu mempengaruhi komputer yang kami gunakan untuk pekerjaan sehari-hari.

Efisiensi

Saya tidak ingin menyebabkan jaringan "sehari-hari" menjadi terlalu lambat dengan menambahkan server. Saya juga tidak ingin server menjadi sangat lambat karena tata letak jaringan.

Mempersiapkan

Seperti apa seharusnya alamat IP, subnet mask, dan koneksi untuk setiap router?

Solusi

Solusi A

Ini adalah solusi pertama yang saya temukan. Menggunakan switch workgroup, saya ingin memberikan kedua posisi router tingkat atas. Router server akan meneruskan TCP port 80 (http).

Cons:

  • Saya tidak bisa mulai bekerja. Saya berasumsi ini karena kedua router berusaha untuk mendapatkan IP publik yang ditugaskan oleh Comcast yang sama dari modem. Entah bagaimana router jaringan bisnis akan berfungsi dengan baik dalam pengaturan ini, tetapi router lainnya tidak akan memperbarui / melepaskan alamat IP atau memberikan koneksi internet keluar (dengan alasan DNS gagal). Meskipun saya mencoba memberikan setiap alamat IP router yang berbeda (satu 192.168.1.1, satu 192.168.2.1), itu tidak menyelesaikan masalah.

Pro:

  • Keamanan bagus. Jika server dikompromikan, itu tidak bisa masuk ke jaringan bisnis. Paling buruk, itu bisa mengendus lalu lintas dari luar, tapi saya tidak yakin apakah ini mungkin.
  • Efisiensi bagus. Setiap jaringan hanya diperlambat oleh switch workgroup.

Solusi B

Ini adalah solusi berikutnya yang saya temukan. Ini adalah pengaturan gaya DMZ yang memungkinkan server berada di luar jaringan bisnis tetapi masih melayani HTTP.

Cons:

  • Dalam Solusi A, saya dapat mengacaukan router server dan tidak akan ada konsekuensi untuk bisnis sehari-hari. Tetapi dalam metode ini, jika saya mengacaukan konfigurasi router server, itu berarti masalah bagi semua orang.
  • Efisiensi buruk. Jaringan bisnis harus melalui dua router untuk sampai ke Internet.
  • Keamanan server buruk. Jika salah satu komputer bisnis dikompromikan, itu dapat merusak server.

Pro:

  • Keamanan jaringan bisnis yang baik. Server, jika dikompromikan, tidak bisa sampai ke komputer lain.
  • Menangani IP publik dengan benar. Solusi ini menggunakan router sebagai item tingkat atas, yang berarti dapat menggunakan DHCP untuk menetapkan alamat IP, yang tidak dimiliki oleh switch jaringan.

Solusi c

Solusi ini mirip dengan solusi pertama, tetapi router digunakan sebagai ganti saklar untuk memberikan penanganan IP yang tepat.

Cons:

  • Efisiensi buruk. Kedua jaringan harus melalui 2 router untuk mendapatkan internet.

Pro:

  • Keamanan bagus. Tidak ada jaringan yang bisa langsung ke yang lain. Dalam kasus terburuk, saya kira lalu lintas mengendus dapat terjadi (tidak yakin).
  • Menangani IP publik dengan benar. Solusi ini memiliki perangkat tingkat atas yang dapat menggunakan DHCP untuk memilah alamat IP.

Intinya

Saya tidak yakin solusi mana yang paling berhasil. Apakah ada solusi yang lebih baik yang belum saya pikirkan?

Saya juga tidak yakin bagaimana mengatur solusi terbaik sehingga melayani internet dengan benar dan aman untuk setiap jaringan. Apa yang harus saya lakukan dengan alamat IP, port terbuka, dan subnet mask untuk setiap router?

Catatan: Saya tahu Server Fault memiliki toleransi yang rendah untuk pertanyaan yang menggunakan perangkat keras jaringan rumah. Itulah satu-satunya alasan saya diposting di sini - saya ingin pertanyaan saya dijawab dan saya tidak ingin bermain politik. Jika ini adalah situs yang salah, saya akan sangat menghargai jika Anda dapat memindahkannya ke lokasi yang benar. Terima kasih.

Es biru
sumber
1
Jujur saja kalau itu jaringan saya, bekerja dengan anggaran rendah yang harus saya lakukan berkali-kali saya akan terlihat menjalankan PC bertindak-sebagai-firewall. Raih PC lama dan pastikan Anda memasukkan Kartu Jaringan lain (untuk DMZ yang tepat Anda memerlukan tiga NIC) instal pfSense atau yang serupa, kemudian miliki yang terhubung ke Modem dan lewati IP eksternal ke pfSense External NIC, satu untuk Server untuk DMZ dan satu ke Jaringan Anda. Anda kemudian dapat mengubah pengaturan Router menjadi WiFi AP saja dan mengamankan jaringan dengan benar.
CharlesH

Jawaban:

1

Pergi dengan 3 pilihan yang Anda tawarkan, B adalah yang terbaik (IMO), karena membuat server pada jaringan perimeter, dan router internal firewall jaringan bisnis internal Anda dari jaringan perimeter (sehingga server tidak dapat mengakses jaringan bisnis ), saat menggunakan peralatan paling sedikit.

Jawaban "nyata" (sekali lagi, IMO):

  • Dapatkan router yang mendukung zona demiliterisasi yang tepat ( DMZ ).
  • Masukkan server ke DMZ.
  • Pastikan ada rute antara LAN dan DMZ, dan WAN dan DMZ.
  • Keuntungan.
Ƭᴇcʜιᴇ007
sumber
Terima kasih atas jawabannya. Saya pikir pada titik ini, saya akan pergi dengan B, dengan tujuan mendapatkan perangkat keras yang lebih baik di masa depan. Apakah ada hal khusus yang perlu saya lakukan dengan alamat IP dan subnet mask dari 2 router di B? Apakah mereka harus berbeda? Juga, apakah C masih merupakan solusi yang aman dan apakah itu memperbaiki masalah di A dengan benar? Terima kasih.
Blue Ice
Hanya kata kehati-hatian dalam B yang dapat saya tawarkan adalah jika Modem melewati IP eksternal (atau bahkan jika itu tidak jujur) pastikan Anda tidak tertangkap oleh 'NAT Double' karena ini dapat menyebabkan segala macam masalah aneh ...
CharlesH
@CharlesH Bisakah Anda menjelaskan apa yang Anda maksud dengan "NAT Double"? Terima kasih
Blue Ice
@ Blue Ice secara efektif NAT adalah metode menerjemahkan IP eksternal ke rentang IP internal. Namun jika Anda memiliki dua perangkat atau lebih yang mencoba melakukan NAT maka masing-masing dari mereka percaya mereka harus melakukan terjemahan jaringan dari satu alamat IP ke rentang 'internal'. Ini subjek yang cukup mendalam, secara efektif perangkat apa pun yang berhadapan dengan internet dengan IP internal (seperti 192.xxx) yang berkinerja NAT jadi nonaktifkan pada perangkat lain
CharlesH